Azure auth an RDS Farm
Hallo,
habe ein etwas kompliziertes Problem.
Ich habe eine On Premis AD Umgebung per Azure AD Connect an das Azure angebunden.
Anbei eine Grafik.
Kleiner Fehler bei der Benennung es sind natürliche alle Geräte in der Test.local Domäne.
Mein Ziel wäre es das Azure Joined only Device On Premise Ressourcen(SMB, RDS usw) verwenden können.
Was grundsätzlich bereits funktioniert.
Die User sind dementsprechend vom onpremis AD ins AZ gesynct.
Ich kann von einem AADJ Device zb. schon auf SMB freigaben usw. zugreifen und das auch per Windows hello über die konfigurierte Cloud Kerberos.
Beim RDS Thema habe ich aber nun folgende Probleme.
Ich verwende das Setting enablerdsaadauth:i:1 in allen RDS Verknüpfungen. Was bewirkt das das angemeldete Webkonto am AADJ Device für die Anmeldung verwendet wird.
Verbindet man sich auf rdsfarm.test.local damit meldet er das "the target-device identifier in the request was not found in the tenant" was logisch ist da rdsfarm.test.local nicht im Azure als Gerät vorhanden ist.
Das wird sich so auch nicht beheben lassen.
Verbindet man sich auf rds01.test.local oder rds02.test.local funktionert das per Azure auth da beide Geräte mit diesem Namen im Entra vorhanden sind.
Verwendet man nun eine Remote APP die über den broker.test.local angesprochen wird funktioniert die auth. Aber danach meldet es es konnte keine Sitzung bereitgestellt werden. Über die normalen AD Daten funktioniert es.
Also muss ich wissen wie ich 1. irgendwie rdsfarm.test.local als vertrauenswürdiges Device/identifier im AZ hinzufüge.
2. Warum der Broker die Sitzung nicht erstellt wenn man sich über das Azure Konto authentifizert.
Ich hoffe das ist halbwegs verständlich erklärt :D
Das selbe habe ich schonmal in einer umgebung mit nur einem RDS Server umgesetzt. Dort war das kein Problem.
Danke euch im Voraus.
habe ein etwas kompliziertes Problem.
Ich habe eine On Premis AD Umgebung per Azure AD Connect an das Azure angebunden.
Anbei eine Grafik.
Kleiner Fehler bei der Benennung es sind natürliche alle Geräte in der Test.local Domäne.
Mein Ziel wäre es das Azure Joined only Device On Premise Ressourcen(SMB, RDS usw) verwenden können.
Was grundsätzlich bereits funktioniert.
Die User sind dementsprechend vom onpremis AD ins AZ gesynct.
Ich kann von einem AADJ Device zb. schon auf SMB freigaben usw. zugreifen und das auch per Windows hello über die konfigurierte Cloud Kerberos.
Beim RDS Thema habe ich aber nun folgende Probleme.
Ich verwende das Setting enablerdsaadauth:i:1 in allen RDS Verknüpfungen. Was bewirkt das das angemeldete Webkonto am AADJ Device für die Anmeldung verwendet wird.
Verbindet man sich auf rdsfarm.test.local damit meldet er das "the target-device identifier in the request was not found in the tenant" was logisch ist da rdsfarm.test.local nicht im Azure als Gerät vorhanden ist.
Das wird sich so auch nicht beheben lassen.
Verbindet man sich auf rds01.test.local oder rds02.test.local funktionert das per Azure auth da beide Geräte mit diesem Namen im Entra vorhanden sind.
Verwendet man nun eine Remote APP die über den broker.test.local angesprochen wird funktioniert die auth. Aber danach meldet es es konnte keine Sitzung bereitgestellt werden. Über die normalen AD Daten funktioniert es.
Also muss ich wissen wie ich 1. irgendwie rdsfarm.test.local als vertrauenswürdiges Device/identifier im AZ hinzufüge.
2. Warum der Broker die Sitzung nicht erstellt wenn man sich über das Azure Konto authentifizert.
Ich hoffe das ist halbwegs verständlich erklärt :D
Das selbe habe ich schonmal in einer umgebung mit nur einem RDS Server umgesetzt. Dort war das kein Problem.
Danke euch im Voraus.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 61038202352
Url: https://administrator.de/contentid/61038202352
Ausgedruckt am: 21.11.2024 um 17:11 Uhr
3 Kommentare
Neuester Kommentar
alle Geräte in der Test.local Domäne.
Mal wieder dieselbe übliche Leier... Diese TLD ist Tabu und manche lernen es nie!! Hinweise zur Verwendung der Domäne .local in DNS und mDNS
https://imatrix.at/schlechter-domain-name/
Wenn es das denn nun war bitte deinen Beitrag dann auch als erledigt markieren!
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?